Der Datentransfer von China in Drittländer
DP+
Bild: iStock.com/yunping liang
Einschränkungen durch den Datenlokalisierungsgrundsatz
Chinas Datenschutzrecht besteht aus einer Troika von Gesetzen: Cybersecurity Law (CSL), Data Security Law (DSL) und Personal Information Protection Law (PIPL). Diese Gesetze sehen einen sog. Datenlokalisierungsgrundsatz vor, d.h. ein Datentransfer aus China in Drittländer unterliegt Beschränkungen (Art. 39 CSL, Art. 31 DSL, Art. 38 PIPL).
Das PIPL ist ein umfassendes Datenschutzgesetz. Es ist durchaus mit der Europäischen Datenschutz-Grundverordnung (DSGVO) vergleichbar.
Das DSL hat die Datensicherheit aus der Sicht des Staates im Blick. Nach Art. 1 des Gesetzes regelt es Datenverarbeitungsaktivitäten, um die nationale Souveränität, Sicherheit und Entwicklungsinteressen zu gewährleisten. Der Schutz der rechtmäßigen Rechte und Interessen von Einzelpersonen und Organisationen ist ebenfalls erwähnt. Nach Art. 2 findet das Gesetz auch Anwendung für Unternehmen und Personen mit Sitz außerhalb der Volksrepublik China, wenn ihre Datenverarbeitungsaktivitäten die nationale Sicherheit, das öffentliche Interesse und die legitimen Interessen der Menschen in China beeinträchtigen.
Das CSL hat in erster Linie die Cybersicherheit im Visier, enthält aber auch erste Regelungen zum Datenschutz (vgl. dazu Kapitel IV Art. 42 ff.).
Typisch für das Recht der Volksrepublik China: Eine große Anzahl zusätzlicher Regelungen (z.B. sog. „measures,“ „provisions“ etc.), die die Behörden herausgeben, ergänzen diese Gesetze.
Die Alternativen für den Datentransfer in Drittländer
Art. 38 PIPL sieht für den Fall, dass ein Verantwortlicher personenbezogene Daten aus China ins Ausland transferieren muss, folgende grundlegende Alternativen vor:
- Durchführung einer Sicherheitsüberprüfung („security assessment“) nach Art. 40 PIPL (betreffend CIIOs durch eine externe Stelle/Organisation). CIIOs sind „Critical Information Infrastructure Operators“, d.h. Verarbeiter, die als
Betreiber kritischer…
Verfasst von
Dr. Mathias Lejeune
Dr. Mathias Lejeune ist Rechtsanwalt und verfügt über langjährige Erfahrungen als verantwortlicher Jurist in bekannten Unternehmen. Seine Arbeitsgebiete sind u.a. internationales Recht sowie Cybersecurity- und Datenschutzrecht.
